Af Tom Madsen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
I de sidste seks til otte måneder har vi læst og hørt en del om den nye lovgivning, der er på vej fra EU omkring beskyttelse af vores data og indsamlingen af disse på internettet. I denne artikel vil vi se nærmere på indholdet i den nye lov sammen med nogle af de detaljer, der ikke har været fremme i pressen. Vi vil også kort beskrive, hvad lovgivningen vil betyde for virksomheder, som vil komme ind under den.
General Data Protection Regulation
Selve det nye regelsæt bliver kaldt for: ”General Data Protection Regulation” eller GDPR. De nye regler er målrettet firmaer, som EU kalder for henholdsvis Controllers og Processors. En Controller er i denne sammenhæng et firma eller organisation, der er ansvarlig for data. En Processor er det firma, der behandler data. Et eksempel vil gøre det mere klart. Lad os sige, at du arbejder for et firma, der har outsourcet sin HR-funktion. I denne situation er dit firma Controller, fordi de er ejerne af HR-data, mens firmaet, som der er blevet outsourcet til, er processoren. I de tilfælde, hvor dit firma selv behandler data, er firmaet både controller og processor på samme tid.
GDPR gælder kun for data, der er indsamlet om EU-borgere, men gælder for alle virksomheder der indsamler data om EU-borgere. Det vil sige, at GDPR-lovgivningen vil komme til at gælde for så at sige alle internationale virksomheder og alle virksomheder inden for EU. Hvad angår børn fra 13-16 år er selve implementeringen af GDPR op til de enkelte medlemsstater. I sin nuværende form siger GDPR ikke noget om børn, der er yngre end 13 år.
Give og fjerne tilsagn til indsamling
I EU har vi længe haft en lov, der giver en EU-borger ret til at blive ’glemt’. Den lov er en integreret del af GDPR, så hvis et firma er en Controller, så skal det firma give en EU-borger mulighed for at blive glemt på deres systemer. Samtidigt skal de give EU-borgeren mulighed for at give sit tilsagn til indsamlingen og behandlingen af data om borgeren. Muligheden for at give tilsagn er ikke nok, firmaet skal samtidigt sørge for, at det er lige så nemt at fjerne sit tilsagn, som det er at give tilsagnet. Det er helt nyt i denne sammenhæng, men selve implementeringen af denne funktion vil betyde store ændringer i mange af de systemer, som bliver brugt af de store firmaer.
En anden ting, som vil betyde store ændringer i systemerne, er reglen om, at en EU-borger skal kunne forlange, at hans/hendes data bliver overført til en tredjepart. Lad os tage et eksempel til. Du er forsikringstager hos Alka, men vil gerne skifte til Tryg. I dette tilfælde vil du kunne gå til Alka og bede dem om at overføre de data, de har om dig til Tryg. Det vil igen betyde store ændringer på systemerne hos de forskellige firmaer. Prøv bare at tænke over, hvor svært det kan være at integrere data imellem systemer i et enkelt firma, og tænk så over hvor store problemer det vil give at skulle integrere data fra forskellige leverandører, der skal overføre data imellem hinanden!
En anden ændring, som potentielt kan give store udfordringer, er reglen om, at hvis et firma er en Processor og ønsker at skifte platform fra f.eks. Oracle til SAP, så skal Processoren skaffe tilsagn fra alle de kunder, de har, inden de laver skiftet. Nu er der måske ikke nogen Processor med respekt for sig selv, der ville skifte platform uden at fortælle deres kunder om det, men her betyder reglen, at kunden kan forhindre Processoren i at lave skiftet, hvis kunden ikke giver sit tilsagn. Hvad det konkret kommer til at betyde i fremtiden vil vise sig, men det vil uden tvivl betyde en større byrde på Processoren, eftersom Processoren skal koordinere meget mere med deres kunder end før.
Undersøgelser før teknologiskift
En regel, der ligner den her meget, er reglen om, at hvis en Controller vil indføre ny teknologi, så skal der laves det, som EU kalder for ’A Privacy Assesment’. Hvis et firma ønsker at skifte fra en DB2 database til SQL Server, skal der inden skiftet laves en undersøgelse af, hvad dette vil komme til at betyde for privatlivet for kunder/medarbejdere. Er der f.eks. forskel i styrken af krypteringen imellem de to produkter? Og hvad vil dette betyde for beskyttelsen af data om kunder og medarbejdere?
Nu kommer vi så til en af de ting, der er blevet skrevet meget om. De virksomheder, som er omfattet af GDPR, skal ansætte en ’Data Protection Officer’ eller DPO. DPO’en har som opgave at holde øje med de processer, som virksomheden bruger i deres arbejde med data og være rådgiver i forbindelse med implementeringen af nye processer. Ansættelsen af en DPO betyder i sagens natur yderligere omkostninger for et firma, men der er ikke noget til hinder for, at flere firmaer kan deles om en enkelt DPO, og dermed deles om omkostningerne til en DPO. Jobbet som DPO er også meget beskyttet. Det vil sige, at man ikke ’bare’ kan fyre en DPO, fordi man er uenig i en beslutning, som DPO’en har taget. Hvordan en afskedigelse af en DPO så vil skulle foregå, er der ikke klarhed over endnu.
Ekstern revision og bøder
Hvordan skal en virksomhed så demonstrere, at de overholder reglerne i GDPR? Det vil de langt hen ad vejen gøre selv. Det lyder måske som en ladeport af en åbning for snyd, men en af reglerne i GDPR siger, at en virksomhed skal demonstrere, at de overholder GDPR. Det betyder ekstern revision. Så firmaet skal ændre på sine politikker til at overholde GDPR, og deres procedurer og processer vil skulle ændres til at overholde GDPR. En ekstern revision vil så certificere, at firmaet overholder GDPR i sine politikker og procedurer.
Hvis et firma ikke overholder GDPR og får en bøde på grund af dette, vil konsekvenserne være store. Bøden kan nemlig løbe op i 20 millioner Euro eller 4 % af den samlede globale omsætning. Det lyder måske ikke som meget, men de 20 millioner Euro er minimumsbøden, og hvad angår de 4 %, så vil det betyde milliarder af Euro i bøde for mange af de store internationale virksomheder.
GDPR er derfor en af de love, der kommer helt ind på bestyrelsesniveau, når den bliver endeligt vedtaget. Planen er, at GDPR bliver vedtaget i 2016 og skal være i kraft to år senere i 2018. Hvis GDPR bliver vedtaget til sommer, så skal din virksomhed altså være klar til GDPR i sommeren 2018.
To år lyder måske af meget, men det er det ikke, når der er så mange ting, der skal implementeres i systemerne og i de politikker, som de forskellige virksomheder har. Er dit firma en af de virksomheder, der er omfattet af GDPR, så er det nu, at I skal til at undersøge detaljerne i, hvad GDPR kommer til at betyde for jer, og hvilke politikker og systemer der skal ændres, for at I kan overholde GDPR.
Nedenfor kan du se nogle af vores forslag til ting, som I skal tage stilling til og sætte i gang.
Fordel for forbrugerne
Men hvad med os, borgerne i EU, er der ikke nogle fordele for os? Naturligvis er der det. Vi har allerede nævnt retten til at blive glemt, med GDPR vil vi få ret til at få et indblik i de data, som en organisation har opsamlet om os.
Reglen om ’Data Portability’ er også en ret, vi skal være glade for. Den gør, at vi ikke længere vil være bundet til en enkelt leverandør af services. Vi kan simpelthen flytte vores data til f.eks. et andet forsikringsselskab. Med GDPR vil et firma, der mister vores data også være bundet til at fortælle os om det. Alt i alt vil GDPR bringe os mere kontrol over de data, som vi giver og som bliver opsamlet af alle de forskellige firmaer.
Ni overvejelser for firmaer vedr. GDPR
1: Hvilke data er det, vi gemmer på?
2: Hvordan er disse data gemt?
3: Hvem har adgang til disse data?
4: Hvordan blev disse data indsamlet?
5: Hvem holder øje med disse data?
6: Få lavet en plan for hvordan et brud på
datasikkerheden skal håndteres.
7: Få implementeret et system, der automatisk ruller patches på de systemer, som er omfattet af GDPR.
8: Sørg for at have et Governance framework på plads.
9: Er der ikke brug for en specifik type data, så lad være med at indsamle dette data!